Zawartość związana z zabezpieczeniami w systemie watchOS 8
W tym dokumencie opisano zawartość związaną z zabezpieczeniami w systemie watchOS 8.
Uaktualnienia zabezpieczeń Apple
W celu ochrony swoich klientów Apple nie ujawnia, nie omawia ani nie potwierdza zagrożeń bezpieczeństwa przed ich zbadaniem i udostępnieniem poprawek lub wersji oprogramowania. Najnowsze wersje są wymienione na stronie Uaktualnienia zabezpieczeń firmy Apple.
Gdy jest to możliwe, w dokumentach Apple dotyczących bezpieczeństwa odniesienia do luk w zabezpieczeniach są wykonywane za pomocą identyfikatorów CVE.
Więcej informacji na temat zabezpieczeń jest dostępnych na stronie Bezpieczeństwo produktów firmy Apple.
watchOS 8
Accessory Manager
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: naprawiono błąd powodujący zużycie pamięci przez poprawienie procedury obsługi pamięci.
CVE-2021-30837: Siddharth Aeri (@b1n4r1b01)
AppleMobileFileIntegrity
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: lokalny atakujący może być w stanie odczytać poufne informacje.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-30811: anonimowy badacz we współpracy z Compartir
bootp
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: urządzenie może być śledzone pasywnie przy użyciu adresu MAC interfejsu Wi-Fi.
Opis: rozwiązano problem z prywatnością użytkowników przez usunięcie rozgłaszania adresu MAC.
CVE-2021-30866: Fabien Duchêne z UCLouvain (Belgium)
CoreAudio
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może prowadzić do nieoczekiwanego zakończenia działania aplikacji lub wykonania dowolnego kodu.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2021-30834: JunDong Xie z Ant Security Light-Year Lab
CoreGraphics
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2021-30928: Mickey Jin (@patch1t) z Trend Micro
FaceTime
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja mająca uprawnienia do mikrofonu może nieoczekiwanie uzyskać dostęp do wejścia mikrofonu podczas połączenia FaceTime.
Opis: usunięto błąd logiczny przez poprawienie procedury sprawdzania poprawności.
CVE-2021-30882: Adam Bellard i Spencer Reitman z Airtime
FontParser
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetwarzanie złośliwie spreparowanej czcionki może spowodować ujawnienie pamięci procesowej.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2021-30831: Xingwei Lin z Ant Security Light-Year Lab
FontParser
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-30840: Xingwei Lin z Ant Security Light-Year Lab
FontParser
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku DFONT może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-30841: Xingwei Lin z Ant Security Light-Year Lab
CVE-2021-30842: Xingwei Lin z Ant Security Light-Year Lab
CVE-2021-30843: Xingwei Lin z Ant Security Light-Year Lab
Foundation
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania typu przez poprawienie procedury obsługi pamięci.
CVE-2021-30852: Yinyi Wu (@3ndy1) z Ant Security Light-Year Lab
ImageIO
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2021-30814: hjy79425575
ImageIO
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego obrazu może doprowadzić do wykonania dowolnego kodu.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-30835: Ye Zhang z Baidu Security
CVE-2021-30847: Mike Zhang z Pangu Lab
Kernel
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: złośliwie spreparowana aplikacja może być w stanie wykonać dowolny kod z uprawnieniami jądra.
Opis: usunięto sytuację wyścigu przez poprawienie mechanizmu blokowania.
CVE-2021-30857: Manish Bhatt z Red Team X @Meta, Zweig z Kunlun Lab
libexpat
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: osoba atakująca zdalnie może spowodować atak typu „odmowa usługi”.
Opis: ten problem rozwiązano przez uaktualnienie biblioteki expat do wersji 2.4.1.
CVE-2013-0340: anonimowy badacz
Preferences
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: aplikacja może uzyskać dostęp do plików objętych ograniczeniami.
Opis: w procedurze obsługi łączy symbolicznych występował błąd sprawdzania poprawności. Ten błąd naprawiono przez poprawienie procedury sprawdzania poprawności łączy symbolicznych.
CVE-2021-30855: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab (xlab.tencent.com)
Preferences
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: proces działający w piaskownicy może być w stanie obejść ograniczenia piaskownicy.
Opis: naprawiono błąd logiki przez poprawienie zarządzania stanem.
CVE-2021-30854: Zhipeng Huo (@R3dF09) i Yuebin Sun (@yuebinsun2020) z Tencent Security Xuanwu Lab (xlab.tencent.com)
Sandbox
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: złośliwa aplikacja może obejść preferencje prywatności.
Opis: błąd naprawiono przez poprawienie procedur obsługi procesów logicznych uprawnień.
CVE-2021-30925: Csaba Fitzl (@theevilbit) z Offensive Security
Sandbox
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: złośliwa aplikacja może być w stanie zmodyfikować chronione części systemu plików.
Opis: ten błąd naprawiono przez poprawienie sprawdzania.
CVE-2021-30808: Csaba Fitzl (@theevilbit) z Offensive Security
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: odwiedzenie złośliwie spreparowanej witryny może spowodować ujawnienie historii stron odwiedzonych przez użytkownika.
Opis: problem został rozwiązany przez wprowadzenie dodatkowych ograniczeń dotyczących komponowania CSS.
CVE-2021-30884: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd nieprawidłowego rozpoznawania pamięci przez poprawienie procedury obsługi pamięci.
CVE-2021-30818: Amar Menezes (@amarekano) z Zon8Research
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: atakująca osoba z uprzywilejowanym dostępem do sieci może być w stanie obejść zabezpieczenia HSTS.
Opis: naprawiono błąd logiczny przez poprawienie ograniczeń.
CVE-2021-30823: David Gullasch z Recurity Labs
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanego pliku audio może spowodować ujawnienie zastrzeżonej pamięci.
Opis: usunięto błąd odczytu spoza zakresu przez poprawienie procedury sprawdzania poprawności danych wejściowych.
CVE-2021-30836: Peter Nguyen Vu Hoang ze STAR Labs
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd dotyczący użycia po zwolnieniu przez poprawienie procedury zarządzania pamięcią.
CVE-2021-30809: anonimowy badacz
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2021-30846: Sergei Glazunov z Google Project Zero
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania dowolnego kodu.
Opis: naprawiono wiele błędów powodujących uszkodzenie zawartości pamięci przez poprawienie procedury obsługi pamięci.
CVE-2021-30849: Sergei Glazunov z Google Project Zero
WebKit
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: przetworzenie złośliwie spreparowanej zawartości internetowej może doprowadzić do wykonania kodu.
Opis: naprawiono błąd powodujący uszkodzenie zawartości pamięci przez poprawienie mechanizmu blokowania.
CVE-2021-30851: Samuel Groß z Google Project Zero
Wi-Fi
Dostępne dla: zegarka Apple Watch Series 3 i nowszych modeli
Zagrożenie: osoba atakująca znajdująca się w bliskiej odległości może być w stanie wymusić na użytkowniku korzystanie ze złośliwie spreparowanej sieci Wi-Fi podczas konfiguracji urządzenia.
Opis: naprawiono błąd dotyczący autoryzacji przez poprawienie mechanizmu zarządzania stanem.
CVE-2021-30810: Peter Scott
Dodatkowe podziękowania
bootp
Dziękujemy za udzieloną pomoc: Alexander Burke (alexburke.ca).
FaceTime
Dziękujemy za udzieloną pomoc: Mohammed Waqqas Kakangarai.
Kernel
Dziękujemy za udzieloną pomoc: Joshua Baums z Informatik Baums.
Sandbox
Dziękujemy za udzieloną pomoc: Csaba Fitzl (@theevilbit) z Offensive Security.
UIKit
Dziękujemy za udzieloną pomoc: Jason Rendel z Diligent.
UIKit
Dziękujemy za udzieloną pomoc: Jason Rendel z Diligent.
WebKit
Dziękujemy za udzieloną pomoc: Nikhil Mittal (@c0d3G33k).
Wi-Fi
Dziękujemy za udzieloną pomoc: Peter Scott.
Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.